Nesta página, você encontra uma visão geral dos conceitos e recursos do Container Threat Detection.
O que é o Container Threat Detection?
O Container Threat Detection é um serviço integrado do Security Command Center que monitora continuamente o estado das imagens de nó do Container-Optimized OS. O serviço avalia todas as alterações e tentativas de acesso remoto para detectar ataques quase em tempo real.
O Container Threat Detection detecta os ataques mais comuns no ambiente de execução do contêiner e envia alertas no Security Command Center e, opcionalmente, no Cloud Logging. O Container Threat Detection inclui vários recursos de detecção, incluindo binários e bibliotecas suspeitos, e usa processamento de linguagem natural (PLN) para detectar scripts bash mal-intencionados.
O Container Threat Detection está disponível apenas no nível Premium ou Enterprise do Security Command Center.
Como funciona o
A instrumentação de detecção do Container Threat Detection coleta o comportamento de baixo nível no kernel convidado e executa scripts bash. Veja a seguir o caminho de execução quando os eventos são detectados:
O Container Threat Detection transmite informações de evento e informações que identificam o contêiner usando um DaemonSet de modo de usuário para um serviço de detector para análise. A coleção de eventos é configurada automaticamente quando o Container Threat Detection está ativado.
O DaemonSet do inspetor transmite informações do contêiner da melhor maneira possível. As informações do contêiner poderão ser removidas da descoberta informada se o Kubernetes e o ambiente de execução dele não enviarem as informações correspondentes a tempo.
O serviço de detector analisa eventos para determinar se um evento indica um incidente. O conteúdo dos scripts bash é analisado com PLN para determinar se os scripts executados são maliciosos.
Se o serviço identificar um incidente, ele será gravado como uma descoberta no Security Command Center ou, opcionalmente, no Cloud Logging.
- Se o serviço de detector não identificar um incidente, a descoberta de informações não será armazenada.
- Todos os dados no serviço de kernel e detector são temporários e não são armazenados de forma permanente.
É possível ver os detalhes da descoberta no painel do Security Command Center e investigar as informações de descoberta. A capacidade de visualizar e editar as descobertas é determinada pelos papéis concedidos a você. Para mais informações sobre os papéis do Security Command Center, consulte Controle de acesso.
Detectores do Container Threat Detection
O Container Threat Detection inclui os seguintes detectores:
| Detector | Descrição | Entradas para detecção |
|---|---|---|
| Adição de binário executado |
Um binário que não fazia parte da imagem do contêiner original foi executado. Se um binário adicionado for executado por um invasor, é possível que um invasor tenha controle da carga de trabalho e esteja executando comandos arbitrários. |
O detector procura um binário em execução que não fazia parte da imagem do contêiner original ou foi modificado a partir da imagem do contêiner original. |
| Adição de biblioteca carregada |
Uma biblioteca que não fazia parte da imagem do contêiner original foi carregada. Se uma biblioteca adicionada for carregada, é possível que um invasor tenha controle da carga de trabalho e esteja executando um código arbitrário. |
O detector procura uma biblioteca carregada que não fazia parte da imagem de contêiner original ou foi modificada na imagem de contêiner original. |
| Execução: adição de binário malicioso executado |
Um binário que atende às seguintes condições foi executado:
Se um binário malicioso for executado, é um forte sinal de que um invasor controla a carga de trabalho e está executando software malicioso. |
O detector procura um binário em execução que não fazia parte da de contêiner original e foi identificado como malicioso com base inteligência artificial. |
| Execução: biblioteca maliciosa carregada |
Uma biblioteca que atende às seguintes condições foi carregada:
Se uma biblioteca maliciosa adicionada é carregada, é um forte sinal de que um invasor controla a carga de trabalho e está executando software malicioso. |
O detector procura uma biblioteca que está sendo carregada e não fazia parte do de contêiner original e foi identificado como malicioso com base inteligência artificial. |
| Execução: criação em binário malicioso executado |
Um binário que atende às seguintes condições foi executado:
Se um binário malicioso integrado for executado, isso é um sinal de que o invasor é implantar contêineres maliciosos. Eles podem ter ganhado o controle de uma repositório de imagens ou pipeline de criação de contêiner legítimo e injetado um um binário malicioso na imagem do contêiner. |
O detector procura um binário que esteja sendo executado e que tenha sido incluído na de contêiner original e foi identificado como malicioso com base inteligência artificial. |
| Execução: binário malicioso modificado executado |
Um binário que atende às seguintes condições foi executado:
Se um binário malicioso modificado for executado, é um forte sinal de que um invasor controla a carga de trabalho e está executando software malicioso. |
O detector procura um binário em execução que foi incluído originalmente na imagem do contêiner, mas modificada durante o ambiente de execução, e foi identificada como com base em informações de ameaças. |
| Execução: biblioteca maliciosa modificada carregada |
Uma biblioteca que atende às seguintes condições foi carregada: Se uma biblioteca maliciosa modificada é carregada, é um forte sinal de que um invasor controla a carga de trabalho e está executando software malicioso. |
O detector procura uma biblioteca que está sendo carregada e foi incluída originalmente na imagem do contêiner, mas modificada durante o ambiente de execução, e foi identificada como com base em informações de ameaças. |
| Script malicioso executado | Um modelo de machine learning identificou um script bash executado como malicioso. Os invasores podem usar scripts bash para transferir ferramentas ou outros arquivos de um sistema externo para um ambiente comprometido e executar comandos sem binários. | O detector usa técnicas de PLN para avaliar o conteúdo de um script bash executado. Como essa abordagem não é baseada em assinaturas, os detectores podem identificar scripts nocivos conhecidos e desconhecidos. |
| URL malicioso observado | O Container Threat Detection observou um URL malicioso na lista de argumentos de um processo em execução. | O detector verifica os URLs observados na lista de argumentos de processos em execução nas listas de recursos da Web não seguros que são mantidos pelo Google Navegação segura serviço. Se um URL for classificado incorretamente como phishing ou malware, denunciar em Relatórios Dados incorretos. |
| Shell reverso |
Um processo começou com o redirecionamento de stream para um soquete conectado remotamente. Com um shell reverso, um invasor pode se comunicar de uma carga de trabalho comprometida para uma máquina controlada pelo invasor. O invasor pode dar comandos e controlar a carga de trabalho, por exemplo, como parte de uma rede de bots. |
O detector procura um stdin vinculado a um soquete remoto.
|
| Shell filho inesperado |
Um processo que normalmente não invoca shells gerou um processo de shell. |
O detector monitora todas as execuções do processo. Quando um shell é invocado, o detector gera uma descoberta se o processo pai normalmente não invoca shells. |
A seguir
- Saiba mais sobre usando o Container Threat Detection.
- Saiba mais sobre teste de detecção de ameaças a contêineres.
- Saiba como investigar e desenvolver planos de resposta em busca de ameaças.
- Saiba mais sobre Artifact Analysis e verificação de vulnerabilidades.